작년 해킹 단체에 당한 통신사, 60만여 달러 벌금으로 내
미국 비난하던 유럽연합의 사실적인 수장 독일도 스파잉 행위
[보안뉴스 문가용] 요즘 판결들이 무섭게 내려지고 있습니다. 얼마 전에는 FTC가 미국 내 업계들의 보안 실태에 참견할 수 있는 권한이 있다는 판결이 내려진 데 이어 브로드밴드 사업자인 콕스사가 작년에 리자드 스쿼드(Lizard Squad)에 의해 해킹을 당한 입장임에도 불구하고 ‘정보를 잘 간수하지 않았다’는 이유로 60만 달러에 달하는 벌금을 내게 되었다고 합니다. CISA도 거의 법문화 되기 직전인데, 점점 사이버 공간에서 일어나는 일들에 대해서 정부가 노골적으로 주도권을 가지려하는 모습이 계속해서 누적되고 있습니다.
.jpg)
1. 해킹은 해킹대로 당하고, 벌금은 벌금대로 물고
콕스사, 리자드 스쿼드 해킹 사건에 대한 책임 물다(Security Week)
콕스사, 해킹 당했는데도 59만 5천 달러 벌금 물어야 해(SC Magazine)
콕스사, 리자드 스쿼드 해킹 사건 책임 물어 59만 5천 달러 벌금(CSOOnline)
작년에 브로드밴드 통신사인 콕스(Cox)가 리자드 스쿼드(Lizard Squad)라는 해킹 전문 단체의 공격을 받았습니다. 고객과 기업의 정보를 제대로 보호하지 않았다는 이유로 미국연방통신위원회(FCC)가 59만 5천 달러의 벌금형을 내렸고, 이에 콕스사는 법정싸움을 벌이긴 했지만 결국 무릎을 꿇었습니다. 이로써 해킹과 사이버 범죄에 대해 정부의 힘이 조금 더 세질 수밖에 없는 판례가 또 하나 늘었습니다.
2. 유럽연합과 미국
유럽연합 집행위원회, 새로운 세이프 하버 가이드라인 발표(SC Magazine)
유럽연합 집행위원회, “세이프 하버 조약, 다음 단계는 미국 몫”(CSOOnline)
유럽연합 집행위원회가 폐지된 세이프 하버 조약을 대신할 만한 대안을 내놓았습니다. 그러나 원 세이프 하버 조약이 미국과 유럽 사이에 체결된 것인 만큼 유럽이 내놓은 대안을 미국이 찬성을 해야만 효과가 발생하는 건데요, 이에 대해 미국이 별 다른 말이 없다고 합니다. 유럽연합은 “우린 할 만큼 했고, 이제 미국이 움직일 차례다”라고 바톤을 넘겼습니다.
3. NIST의 새 가이드라인
NIST, 애플리케이션 화이트리스팅 가이드라인 발표(CU Infosecurity)
애플리케이션 화이트리스팅이 어렵다고? NIST가 돕는다!(CSOOnline)
미국의 정책 관련 부서인 NIST에서 애플리케이션 화이트리스팅에 관한 가이드라인을 발표했습니다. 여기에서 확인이 가능합니다(영문). 애플리케이션을 통한 멀웨어 감염이 유행처럼 번지기에 정부 기관이 직접 가이드라인을 내놓기에 이른 것이라고 합니다. 일단
4. 미국 정부기관 이모저모
또 10대 해커, 이번엔 FBI 부국장 노려(Infosecurity Magazine)
미국 국방부, 치명적인 사이버 무기 개발 중에 있다(Infosecurity Magazine)
또 한 번 10대에 의한 해킹 사건이 발생했습니다. 10대로 구성된 해커들이 FBI 부국장 및 그의 배우자가 가진 AOL 이메일 계정에 침투한 것입니다. 이 해커그룹은 CWA(Crackas with Attitude)라고 불리며, 바로 얼마 전 CIA 국장의 AOL 이메일에 침투한 장본인들이기도 합니다.
한편 미국 국방부에서 비밀리에 치명적인(lethal) 사이버 무기를 개발 중에 있다는 소식이 내부로부터 고발되었다고 합니다. 일종의 군사무기로 ‘논리 폭탄’을 터트려 적 부대의 인프라를 마비시키는 것을 목적으로 한다고 하는데요, 공식적인 확인이 아직까지 없어 아직은 의혹단계에 있는 정보입니다.
5. 독일의 정부기관
독일의 정보기관, 동맹국가들을 체계적으로 감시해왔다(Security Week)
미국이 스파이 행위를 했기 때문에 세이프 하버 조약을 깬 것이 유럽인데, 독일 정보기관도 동맹국가의 정부와 적십자와 같은 국제 NGO들과 언론사 등을 체계적으로 감시해왔다는 보도가 있었습니다. 사실 프랑스 정부가 계속해서 의혹을 제기해온 부분인데 실체가 드러난 모양입니다. 다만 제보자를 보호하기 위한다는 이유로 정보의 출처가 아직 공개되지는 않은 상태이긴 합니다. 세이프 하버 조약을 만드는 데 있어서 미국이 숙이고 들어갈 이유가 하나 없어졌습니다.
6. 큰 기업들의 움직임
MS, SHA-1의 만료일 앞당길 수 있다(Threat Post)
구글, 칩 디자인에 나서는가(SC Magazine)
여러 가지로 문제가 되고 있으며 최근 태생적인 한계까지 드러난 SHA-1의 공식 만료일은 2017년 1월인데요, 여러 대기업들에서 이를 앞당길 생각을 언뜻 내비치고 있습니다. 그중에 하나가 MS인데요, 이를 고려하고 있다고 합니다. 아직 확정된 사항은 없습니다.
또한 구글이 하도 안드로이드에서 불미스러운 일들이 일어나니까 안드로이드용 칩 설계까지도 직접 할까 하고 간을 보고 있습니다. 물론 제작까지 손수하지는 않을 듯 합니다. 제작만은 외주를 주겠죠. 이제 안드로이드 진영은 칩 설계까지 손을 뻗치나요.
7. 여전한 공격들
3사분기, 멀웨어 배포 주로 금요일에 있었다(Security Week)
지난주 이코노미스트 읽으셨나요? 그러면 큰일인데...(The Register)
스웨덴 은행, 디도스 공격받아(The Register)
스웨덴 은행(Swedbank)이 디도스 공격으로 한동안 온라인 거래가 작동하지 않았습니다. 지난주에는 이코노미스트 웹 사이트에서 멀웨어가 배포되었다는 사실이 뒤늦게 알려져서 독자들 사이에서 혼란이 있는 모양이고요. 정확히 말하면 10월 31일 23:52(GMT)와 11월 1일 01:15(GMT) 사이에 접속한 사람들은 감염되었을 가능성이 높다고 합니다. 형태는 플래시 업데이트였다고 하고요. 이렇게 멀웨어가 주로 주말, 특히 금요일에 급증한 것이 지난 3사분기에 드러난 패턴이라고 합니다. 주말이 되면 살아나고 생기가 돋는 건 평범한 직장인들만이 아닌가봅니다.
[국제부 문가용 기자(globoan@boannews.com)]
미국 비난하던 유럽연합의 사실적인 수장 독일도 스파잉 행위
[보안뉴스 문가용] 요즘 판결들이 무섭게 내려지고 있습니다. 얼마 전에는 FTC가 미국 내 업계들의 보안 실태에 참견할 수 있는 권한이 있다는 판결이 내려진 데 이어 브로드밴드 사업자인 콕스사가 작년에 리자드 스쿼드(Lizard Squad)에 의해 해킹을 당한 입장임에도 불구하고 ‘정보를 잘 간수하지 않았다’는 이유로 60만 달러에 달하는 벌금을 내게 되었다고 합니다. CISA도 거의 법문화 되기 직전인데, 점점 사이버 공간에서 일어나는 일들에 대해서 정부가 노골적으로 주도권을 가지려하는 모습이 계속해서 누적되고 있습니다.
1. 해킹은 해킹대로 당하고, 벌금은 벌금대로 물고
콕스사, 리자드 스쿼드 해킹 사건에 대한 책임 물다(Security Week)
콕스사, 해킹 당했는데도 59만 5천 달러 벌금 물어야 해(SC Magazine)
콕스사, 리자드 스쿼드 해킹 사건 책임 물어 59만 5천 달러 벌금(CSOOnline)
작년에 브로드밴드 통신사인 콕스(Cox)가 리자드 스쿼드(Lizard Squad)라는 해킹 전문 단체의 공격을 받았습니다. 고객과 기업의 정보를 제대로 보호하지 않았다는 이유로 미국연방통신위원회(FCC)가 59만 5천 달러의 벌금형을 내렸고, 이에 콕스사는 법정싸움을 벌이긴 했지만 결국 무릎을 꿇었습니다. 이로써 해킹과 사이버 범죄에 대해 정부의 힘이 조금 더 세질 수밖에 없는 판례가 또 하나 늘었습니다.
2. 유럽연합과 미국
유럽연합 집행위원회, 새로운 세이프 하버 가이드라인 발표(SC Magazine)
유럽연합 집행위원회, “세이프 하버 조약, 다음 단계는 미국 몫”(CSOOnline)
유럽연합 집행위원회가 폐지된 세이프 하버 조약을 대신할 만한 대안을 내놓았습니다. 그러나 원 세이프 하버 조약이 미국과 유럽 사이에 체결된 것인 만큼 유럽이 내놓은 대안을 미국이 찬성을 해야만 효과가 발생하는 건데요, 이에 대해 미국이 별 다른 말이 없다고 합니다. 유럽연합은 “우린 할 만큼 했고, 이제 미국이 움직일 차례다”라고 바톤을 넘겼습니다.
3. NIST의 새 가이드라인
NIST, 애플리케이션 화이트리스팅 가이드라인 발표(CU Infosecurity)
애플리케이션 화이트리스팅이 어렵다고? NIST가 돕는다!(CSOOnline)
미국의 정책 관련 부서인 NIST에서 애플리케이션 화이트리스팅에 관한 가이드라인을 발표했습니다. 여기에서 확인이 가능합니다(영문). 애플리케이션을 통한 멀웨어 감염이 유행처럼 번지기에 정부 기관이 직접 가이드라인을 내놓기에 이른 것이라고 합니다. 일단
4. 미국 정부기관 이모저모
또 10대 해커, 이번엔 FBI 부국장 노려(Infosecurity Magazine)
미국 국방부, 치명적인 사이버 무기 개발 중에 있다(Infosecurity Magazine)
또 한 번 10대에 의한 해킹 사건이 발생했습니다. 10대로 구성된 해커들이 FBI 부국장 및 그의 배우자가 가진 AOL 이메일 계정에 침투한 것입니다. 이 해커그룹은 CWA(Crackas with Attitude)라고 불리며, 바로 얼마 전 CIA 국장의 AOL 이메일에 침투한 장본인들이기도 합니다.
한편 미국 국방부에서 비밀리에 치명적인(lethal) 사이버 무기를 개발 중에 있다는 소식이 내부로부터 고발되었다고 합니다. 일종의 군사무기로 ‘논리 폭탄’을 터트려 적 부대의 인프라를 마비시키는 것을 목적으로 한다고 하는데요, 공식적인 확인이 아직까지 없어 아직은 의혹단계에 있는 정보입니다.
5. 독일의 정부기관
독일의 정보기관, 동맹국가들을 체계적으로 감시해왔다(Security Week)
미국이 스파이 행위를 했기 때문에 세이프 하버 조약을 깬 것이 유럽인데, 독일 정보기관도 동맹국가의 정부와 적십자와 같은 국제 NGO들과 언론사 등을 체계적으로 감시해왔다는 보도가 있었습니다. 사실 프랑스 정부가 계속해서 의혹을 제기해온 부분인데 실체가 드러난 모양입니다. 다만 제보자를 보호하기 위한다는 이유로 정보의 출처가 아직 공개되지는 않은 상태이긴 합니다. 세이프 하버 조약을 만드는 데 있어서 미국이 숙이고 들어갈 이유가 하나 없어졌습니다.
6. 큰 기업들의 움직임
MS, SHA-1의 만료일 앞당길 수 있다(Threat Post)
구글, 칩 디자인에 나서는가(SC Magazine)
여러 가지로 문제가 되고 있으며 최근 태생적인 한계까지 드러난 SHA-1의 공식 만료일은 2017년 1월인데요, 여러 대기업들에서 이를 앞당길 생각을 언뜻 내비치고 있습니다. 그중에 하나가 MS인데요, 이를 고려하고 있다고 합니다. 아직 확정된 사항은 없습니다.
또한 구글이 하도 안드로이드에서 불미스러운 일들이 일어나니까 안드로이드용 칩 설계까지도 직접 할까 하고 간을 보고 있습니다. 물론 제작까지 손수하지는 않을 듯 합니다. 제작만은 외주를 주겠죠. 이제 안드로이드 진영은 칩 설계까지 손을 뻗치나요.
7. 여전한 공격들
3사분기, 멀웨어 배포 주로 금요일에 있었다(Security Week)
지난주 이코노미스트 읽으셨나요? 그러면 큰일인데...(The Register)
스웨덴 은행, 디도스 공격받아(The Register)
스웨덴 은행(Swedbank)이 디도스 공격으로 한동안 온라인 거래가 작동하지 않았습니다. 지난주에는 이코노미스트 웹 사이트에서 멀웨어가 배포되었다는 사실이 뒤늦게 알려져서 독자들 사이에서 혼란이 있는 모양이고요. 정확히 말하면 10월 31일 23:52(GMT)와 11월 1일 01:15(GMT) 사이에 접속한 사람들은 감염되었을 가능성이 높다고 합니다. 형태는 플래시 업데이트였다고 하고요. 이렇게 멀웨어가 주로 주말, 특히 금요일에 급증한 것이 지난 3사분기에 드러난 패턴이라고 합니다. 주말이 되면 살아나고 생기가 돋는 건 평범한 직장인들만이 아닌가봅니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
